neprihlásený Nedeľa, 6. októbra 2024, dnes má meniny Natália
Podpisovanie kľúčov zabezpečujúcich celý Internet odložené, nedá sa dostať do trezoru

Značky: DNSbezpečnosťInternetzaujímavosti

DSL.sk, 13.2.2020


Organizácia ICANN spravujúca koreňovú zónu DNS musela odložiť na včera plánované pravidelné podpisovanie nových tzv. zónových DNSSEC kľúčov zabezpečujúcich koreňovú zónu.

K odloženiu prišlo z kuriózneho dôvodu, keď zlyhanie zariadenia zabraňuje prístupu do jedného z bezpečných trezorov obsahujúcich materiál potrebný pre toto podpisovanie.

DNS je systémom zabezpečujúcim preklad doménových mien na IP adresy používané samotným internetovým protokolom. Pre reálnu funkčnosť Internetu je tak kľúčovým. DNSSEC je štandardom, ktorý do pôvodne nezabezpečeného systému DNS pridal kryptografické overovanie odpovedí DNS serverov.

Hlavný tzv. KSK, key signing key, kľúč pre root DNS zónu sa nachádza v HSM, hardvérovom module. Ten sa nachádza v jednom trezore v zabezpečených priestoroch, v druhom trezore sa nachádzajú potrebné karty pre využívanie HSM. ICANN má dve kópie takejto infraštruktúry, v El Segundo v Kalifornii a v Culpeper vo Virgínii.

K problému prišlo v El Segundo, oznámenie neuvádza do ktorého trezoru sa nedá dostať a o aký problém konkrétne ide. V prípade potreby je možné podpisovanie presunúť do druhej lokality.

Pomocou KSK kľúča sa pravidelne oficiálnym procesom každé tri mesiace podpisujú nové zónové kľúče pre root DNS zónu, ktoré sa následne už používajú na podpisovanie záznamov vracaných z root DNS serverov. Lokality, kde sa podpisovanie uskutočňuje, sa striedajú.

V El Segundo sa mali aktuálne podpisovať kľúče pre druhý štvrťrok tohto roka.

ICANN pre vyriešenie situácie naplánovala na zajtra opravu pokazeného zariadenia. Pokiaľ sa podarí, podpisovanie sa uskutoční v sobotu 15. februára o 19:00. Pokiaľ sa oprava nepodarí, nový termín podpisovania bude oznámený neskôr.


      Zdieľaj na Twitteri



Najnovšie články:

OpenZFS konečne dostáva podporu pridania ďalších diskov do RAID-Z
4ka oslavuje výročie, zákazníkom dá 1 GB dát
Prvý WiFi router od OpenWrt v predaji
Alza v Česku spustila predaj liekov, na Slovensku ho zatiaľ nechystá
Seriál Fallout podľa počítačovej hry dosiahol 100 miliónov divákov
NASA laserom komunikovala takmer na pol miliardy kilometrov
Ďalšia generácia Intel CPU bude predstavená o týždeň, dostupná o ďalšie dva
Tesla zvýšila objem výroby elektromobilov, za svojimi rekordami stále zaostáva
Qualcomm chystá ešte nižší model Snapdragonu X, zrejme umožní lacnejšie PC
NASA vypla vedecký prístroj na sonde Voyager 2


Diskusia:
                               
 

Ak vas zaujima ako take podpisovanie pomocou HSM vypada, pozrite si Mr. Robot S05E05.
Odpovedať Známka: 5.6 Hodnotiť:
 

Typický protekcionalizmus. Tých, čo to nezaujíma, môže byť kľudne hoc' i rádovo viac, ale hlavne že je priekazne postarané o našich ľudí!
Odpovedať Známka: -2.8 Hodnotiť:
 

S05E05 ?
Odpovedať Známka: 5.0 Hodnotiť:
 

Seria 5, epozoda 5... ci comu nerozumies?
Odpovedať Známka: 0.0 Hodnotiť:
 

Yep, chyba, Mr. Robot ma iba 4 serie a hento bolo v S03E05.
Odpovedať Známka: 8.0 Hodnotiť:
 

mali zavolat Ruska s Kocnerom, vedia ako sa podpisovat
Odpovedať Známka: 8.9 Hodnotiť:
 

Tiez ich treba odlozit do trezoru, co sa neda otvorit.
Odpovedať Známka: 9.2 Hodnotiť:
 

Nemaju tych nahradnych klucov malo? V meste mame rozdistribuovanych viac klucov od bytu, a to ani nemame vypinac svetoveho internetu.
Odpovedať Známka: 8.9 Hodnotiť:
 

klud, jednu kopiu ma CIA a dalsiu NSA.
Odpovedať Známka: 10.0 Hodnotiť:
 

Len mna znepokojuje to, ze lokality su len v USA?
Odpovedať Známka: 5.9 Hodnotiť:
 

hej len teba
Odpovedať Známka: 1.5 Hodnotiť:
 

Ak sa kľúč generuje v HSM a nedá sa kôli bezpečnosti exportovať, ako môžu mať druhú takúto lokalitu s HSM s rovnakým kľúčom?
Odpovedať Známka: 10.0 Hodnotiť:
 

Dobra otazka, to by aj mna zaujimalo. Dufam ze sa vyjadria DSL.sk experti.
Odpovedať Známka: 8.6 Hodnotiť:
 

Naco sem teda chodis?
Odpovedať Známka: -1.4 Hodnotiť:
 

Presne kvoli tomu, co som uviedol v komentari, na ktory reagujes :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

divne chutky teda
Odpovedať Známka: 3.3 Hodnotiť:
 

dd if=/dev/sda of=/dev/sdb
sync

Odpovedať Známka: 3.3 Hodnotiť:
 

dd: failed to open '/dev/sda': Permission denied
Odpovedať Známka: 6.7 Hodnotiť:
 

Tak uz len kvoli optimalizacii nakladov nie je nevyhnutnych superbezpecnych lokalit priekazne nikdy dost.
Odpovedať Známka: 7.1 Hodnotiť:
 

Treba citat s porozumenim:

"...Lokality, kde sa podpisovanie uskutočňuje, sa striedajú."

Cize raz podpisu na mieste 1, potom na mieste 2, atd.
Odpovedať Známka: -3.3 Hodnotiť:
 

HSM su rozne typy a rozne urovne SECURITY LEVEL. Niektore len vratia desifrovany kluc a ten sa moze pouzit (v konkretnej aplikacii), ine kluc nevracaju ale rovno vykonaju crypto operaciu a vratia vysledok. Kluce mozu byt oznacene ako exportovatelne alebo nie. Kluc nemusi byt vygenerovany priamo v HSM, moze tam byt len ulozeny.

Niektore maju "synchronizaciu", pri ktorej zadas domenu a heslo a obsah sa prenesie do novej jednotky.

Ine su chranene cez "WORLD KEY", ktory je zabezpeceny urcitym minimalnym poctom spravcov (resp. ich klucov) z celkoveho poctu. Pomou "WORLD KEY" a klucov spravcov vies obnovit HSM a teda vygenerovat potrebny pocet kusov.
Odpovedať Známka: 10.0 Hodnotiť:
 

Všetko pekné a premyslené. Len čo tie zadné vrátka ?
Odpovedať Známka: 3.3 Hodnotiť:
 

... nie je ho mozne exportovat v otvorenej forme. HSM ho teda vie odovzdat cez zabezpeceny kanal.
Odpovedať Známka: 10.0 Hodnotiť:
 

od HW kľúča...to sú celí oni :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Podla mna ten kluc stratila nejaka tetula co tam upratuje, hodila si kluc do zastery a pri fajcpauze jej niekde vypadol..
Odpovedať Známka: 8.0 Hodnotiť:
 

https://tinyurl.com/vblh4xq
Odpovedať Známka: 10.0 Hodnotiť:
 

Dík - výnimočne som sa niečo zaujímavé dozvedel vďaka diskusii na DSL. Väčšinou sa tu prídem len zabaviť ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

"sa sem"!
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár